Trojaner-Board - Hilfe Bitte

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe Bitte (https://www.trojaner-board.de/32689-hilfe-bitte.html)

Also ich habe mein PC neuinstalliert und weiss nicht weiter immer 100% system auslastung wenn ich internet starte oder die svchost/explorer.exe an ist. bitte helft mir!!

Logfile of HijackThis v1.99.1
Scan saved at 19:46:39, on 05.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\***\Desktop\HijackThis\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe

@Burgi
Diesem Log nach befindet sich dein Rechner in Wachkoma: es läuft sehr wenig davon, was ein PC für die normale Arbeit braucht. Auch keine Malware.

Zitat:

Zitat von Burgi

immer 100% system auslastung wenn ich internet starte oder die svchost/explorer.exe an ist.

Welcher Prozess (Name) verursacht wieviel CPU-Last (Prozentangabe)?

Hast Du alle notwendigen Treiber installiert (vor allem die Chipsatztreiber)?

naja meistens verursacht explorer oder system oder svchost viel oder wenn ich eine anwendung starte

Zitat:

Zitat von MightyMarc

Hast Du alle notwendigen Treiber installiert (vor allem die Chipsatztreiber)?

woher bekomme ich diese treiber?

Zitat:

Zitat von Burgi

woher bekomme ich diese treiber?

Von dem Hersteller Deines Mainboards. Wenn Du den rechner nicht aufschrauben willst, dann nutze ein Programm wie z.B. Everest Home um die Information zu erhalten. Dann suchst Du die Homepage des Herstellers auf und lädst Dir aus dem Supportbereich das entsprechende Treiberpaket.

Gruß

Marc

ok vielen dank,
aber bei ati gibt es den treiber für meine grafikkarte nichtmehr nurnoch ganz neue T_T

Zitat:

Zitat von Burgi

aber bei ati gibt es den treiber für meine grafikkarte nichtmehr nurnoch ganz neue T_T

Wir wollen erstmal Chipsatztreiber auf Deinen Rechner bringen. Dann kümmer wir uns um den Rest. Wie ist denn die genaue Bezeichnung Deines Mainboards?

Mainboard: K7VT4APro
Chipsatz: VIA VT8377A Apollo KT400A
Grafikkarte: Radeon 9200 SE
Prozessor: AMD Sempron 2200+ 1500MHz

wenn du noch mehr infos brauchs sag bescheid danke für die hilfe

Zitat:

Zitat von Burgi

Mainboard: K7VT4APro
Chipsatz: VIA VT8377A Apollo KT400A

Hallo,

da Mighty Marc gerade nicht da ist, habe ich dir mal den Chipsatztreiber herausgesucht :) Klicke auf folgnden Link, lade die .zip Datei herunter und entpacke sie, starte dann die Installationsroutine:

http://www.computerbase.de/downloads..._hyperion_pro/

Wenn du die Treiber installiert hast, wirst du das System neustarten müssen.
(das sollte eigentlich automatisch passieren!)

Zitat:

Grafikkarte: Radeon 9200 SE

Nachdem das System neugestartet ist, lade und installiere dir den Grafikkartentreiber, diesen bekommst du hier:

http://www.computerbase.de/downloads...a_ati-treiber/

Danach wieder neu starten..

Zitat:

wenn du noch mehr infos brauchs sag bescheid

..ja ich brauche noch Infos, und zwar ob danach alles klappt!

Gruß
Sunny

so hab alles installiert es ist aber nix besser im gegenteil: mein Pc fährt langsamer hoch, wenn er hochfährt geht der bildschirm für 2 minuten aus, und danach ist der pc erst im anmeldungsmenü!

was kann ich tun? hier mein HiJackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 16:26:36, on 16.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\msiexec.exe
C:\Dokumente und Einstellungen\Julian.KING\Desktop\HijackThis\HijackThis.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

Irgendwie kann ich nicht ganz glauben, dass das Logfile vollständig ist. Oder irgendein Schädling im Hintergrund blockiert Hijackthis beim Untersuchen bestimmter Bereiche... :confused:

is mir auch unklar warum das so kurz ist ich mach mal noch eins:

Logfile of HijackThis v1.99.1
Scan saved at 13:24:30, on 19.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Julian.KING\Desktop\HijackThis\HijackThis.exe

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

Hat Dein momentan eingeloggtes Windows-Benutzerkonto Admin- oder eine eingeschränkte Rechte?

Das klingt wirklich etwas anämisch was da läuft, da fragt man sich ob jemand Prozesse versteckt. Es fehlt z.B. alles was über die Registry automatisch gestartet wird, und daß da GAR NIX drin steht ist de facto unmöglich.

Spannend wär jetzt mal die Frage, welche Bibliotheken die Explorer.exe so lädt. Ggf. hat da jemand etwas eingeschleust was da nicht hingehört.

@Burgi,

lade dir mal folgendes Programm -> Silentrunners

Lies dir die Anleitung dazu durch, und arbeite sie genauso ab wie es dasteht.
Danach (der letzte Punkt der Anleitung!), kopiere alles aus dem Editorfenster hier in einen Beitrag.

Gruß
Sunny

ok hier isses

"Silent Runners.vbs", revision 49, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ATICCC" = ""C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay" [null data]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{89B4C1CD-B018-4511-B0A1-5476DBF70820}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{5E2121EE-0300-11D4-8D3B-444553540000}" = "Catalyst Context Menu extension"
-> {HKLM...CLSID} = "SimpleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\ATI Technologies\ATI.ACE\atiacmxx.dll" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2006\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users.WINDOWS/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}

----------
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 112 seconds.
---------- (total run time: 194 seconds)

hilft mir keiner?:heulen:

Zitat:

Zitat von Burgi

hilft mir keiner?:heulen:

Bitte hab Geduld. Nicht alle sitzen vor dem PC und üben Dauerfeuer auf den Aktualisierungsknopf aus ;)

das verlange ich ja nicht, aber es wäre schon nett wenn ihr mal meinen post untersucht ich warte nicht sekunden stunden oder minuten sondern tage und nichts wird besser :(

Ich hab den Eindruck, dass Deine Kiste vermurkst ist, aber nicht durch Viren oder so, sondern schlicht und einfach "kaputtoptimiert" wurde. :rolleyes:
Und wenn's doch Schädlinge sind, dann sind diese nicht offensichtlich.

Zitat:

Zitat von cosinus

wie du meinst mein pc ist kaputt?
wenn das so ist was ich schon befürchtet habe kannst du mir sagen was genau kaputt ist?

Einen Hardwaredefekt meinte ich eigentlich nicht, das "kaputtoptimiert" bezog sich eher auf das Betriebssystem. Hast Du vlt etwas übermotiviert mit TuneUp gewerkelt?

hm dass kann auch sein aber davor gings ja genausowenig

Hallo,
hast du das HijackThis-Log aus dem abgesicherten Modus erstellt ?
Wenn ja ,mache bitte eins aus dem Normalmodus.
Irrlicht

das ist aus dem normalmodus

kann mir keiner weiterhelfen?

Kann es sein, dass ich Falsch formatiert habe, denn wie ich letztens Die Siedler 4 installierte, hatte ich alle Spielstände, Karten, usw. wieder obwohl ich formatiert hatte!?

Zitat:

Zitat von Burgi (Beitrag 241185)

Kann es sein, dass ich Falsch formatiert habe, denn wie ich letztens Die Siedler 4 installierte, hatte ich alle Spielstände, Karten, usw. wieder obwohl ich formatiert hatte!?

Wie hast Du das denn bewerkstelligt?
Eine Neuinstallation setzt voraus, dass man von dem Installationsmedium bootet, also von der Windows-CD. Dort wird Dir die Möglichkeit gegeben, Partitionen zu erstellen/löschen/formatieren - die "alte" Systempartition solltest Du formatieren, damit nichts von dem alten System ins neue genommen wird.

Hier findest Du eine ausführliche Anleitung => Windows XP Pro Installation

ok werds versuchen danke:aplaus: